Lidé posílají čísla platebních karet Booking.com a neprohlédnou to. Nevědí, že s nimi komunikují podvodníci

Zpráva přijde z účtu hotelu, obsahuje správný termín i cenu pobytu. Přesto ji nepsal hotel. Booking.com znovu varoval zákazníky před vlnou podvodů.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Booking

Robyn z australského Queenslandu si v lednu 2024 rezervovala pobyt v Istanbulu. O pár dní později již přišla zpráva přímo v aplikaci Booking.com, ve vlákně její rezervace, že je problém s ověřením karty a pobytu bude zrušen, pokud do 24 hodin nezadá platební údaje znovu. Stránka, na kterou odkaz vedl, vypadala jako Booking.com. Cena seděla, název hotelu seděl, termín seděl. Robyn kartu vyplnila. Do hodiny někdo na její jméno zarezervoval hotel v Budapešti. Celková škoda přesáhla 25 tisíc australských dolarů. Robyn přitom není nepozorná turistika, jen důvěřovala prostředí, které dosud fungovalo spolehlivě.

Jak útok funguje: od hotelu k vašemu účtu

Celý podvod začíná paradoxně daleko od cestujícího, u recepčního, manažera nebo kohokoliv, kdo má přístup do partnerského panelu Booking.com. Microsoft v březnu 2025 napsal kampaň skupiny Storm-1865, která cílila právě na zaměstnance hotelů. Přišel jim e-mail tvářící se jako dotaz hosta nebo zpráva od Bookingu, uvnitř odkazu vedoucí ke stažení malwaru. získal získal získané údaje a cookies, převzal partnerský účet hotelu.

Od té chvíle mohl psát hosty přímo přes oficiální komunikační platformy. Zprávy obsahovaly reálné údaje o rezervaci, protože útočník je viděl v systému. Bezpečnostní firma Sekoia v listopadu 2025 zdokumentovala , že kompromitované účty a přístupové logy se prodávají na kyberkriminálních fórech za jednotky až tisíce dolarů. Nejde o nahodilý podvod jednoho šikovného hackera. Je to průmyslově obchodovaný model s vlastním trhem.

Proč to lidé neprohlížejí

Klasický phishing má slabinu: chybí mu kontext. Přijde e-mail od „banky“, kde nemáte účet, nebo nabídka probíhá, který jste si neobjednali. Bookingový podvod tuhle slabinu nemá. Zpráva přijde ve správném vlákně, od správného hotelu, s přesnou cenou a datem. Oběť neřeší, jestli je zpráva pravá, řeší, jak zachránit dovolenou.

Tlak na čas je druhý pilíř. „Dokončete ověření do 24 hodin, jinak bude rezervace zrušena.“ Kdo má letenky a volno v práci, nekontroluje URL adresu. Klikněte, vyplníte, potvrdíte. Někdy podvodníci eskalují: po první chtějí druhou, případně bankovní převod. A protože komunikace probíhá v důvěryhodném prostředí, oběť si říká, že jde o technický problém na straně hotelu.

V dubnu 2026 Booking.com rozeslal části zákazníků upozornění, že neoprávněné strany mohly získat údaje o rezervacích, jména, e-maily, adresy, telefony. Finanční data podle firmy unikla nebyla. Jenže právě rezervační údaje stačí k tomu, aby phishingová zpráva vypadala naprosto věrohodně.

Český kontext: nejde jen o Austrálii

Deník N v květnu 2026 popsal případ skupiny z Prahy, která řešila případ podezřelou rezervaci v Londýně: zpráva přišla přes Booking.com a obsahovala opakované zadání karty. Český CSIRT přitom varoval před podvodnými zprávami spojenými s Bookingem už v roce 2015, tehdy šlo o malware v příloze falešného potvrzení. Aktuální vlna je sofistikovanější, ale princip zneužití důvěry ve známé značce zůstává stejný.

Veřejná česká statistika čistě pro podvody na Booking.com neexistuje. Přesto je zřejmé, že tento problém českých uživatelů se týká, jako letní sezóna 2026 a miliony rezerv se riziko zvyšuje.

Podle čeho podvodu známé

Rozhodující je jeden jednoduchý test: sedíte s tím, co jste odsouhlasili při rezervaci? Pokud jste platili kartou a nikdo po vás nic dalšího nechtěl, jakýkoli následný požadavek na „ověření karty“ je červená vlajka. Booking.com na svém bezpečnostním webu uvádí, že žádná legitimní sdělení sdělení karetních údajů o telefonu, textu nebo e-mailu.

Konkrétní varovné signály:

• Tlak na čas – „do 24 hodin“, „okamžitě“, „jinak zrušíme rezervaci“
• Odkaz mimo Booking.com – URL, které po rozkliknutí nevede na booking.com
• Požadavek na kartu přes e-mail, SMS nebo WhatsApp
• Bankovní převod místo standardní platby kartou
• Soubor ke stažení v příloze zprávy

Přechod na jinou platformu sám o sobě nic neřeší. Airbnb varuje před komunikacemi a platbami mimo svůj systém, Expedia před falešnými kontakty a bankovními převody. Sekoia navíc doložila, že stejně útočníci cílili i na Expedia, Airbnb a Agodu. Klíčové není, kde rezervujete, ale jestli rozpoznáte okamžik, kdy se komunikace odchýlí od původně potvrzeného platebního režimu.

Co dělat, když jste kartu už zadali

Pokud jste údaje vyplnili, počítá se každá minuta. Česká národní banka doporučuje jako první krok bez odkladu kontaktovat banku a zablokovat kartu i další platební prostředky. Teprve potom řešit Booking.com přes oficiální zákaznickou linku a podat oznámení na Policii ČR. Uložte si screenshoty komunikace a odkazu, budete potřebovat.

Vrácení peněz není automatické. ČNB poskytne, že pokud klient sám potvrdil platbu přes vícefaktorové ověření nebo 3D Secure, může unést ztrátu v plném rozsahu. Robyn z Queenslandu peníze nakonec dostala zpět, ale to byl konkrétní výsledek její banky, ne obecné pravidlo.

Nejúčinnější obrana proti tomuto typu podvodu není technická gramotnost ani antivirový program. Je to návyk: kdykoli vás kdokoliv požádat o platební kartu mimo okamžik, kdy jste sami iniciovali platbu, zavřete zprávu a nebo si třeba situaci jinou cestou.